Eset NOD32 Antivirus

[DISEPEAR]

Отправьте файлы на samples@esetnod32.ru в архиве с паролем infected.

Уже поотправлял, и через антивирус и через имэйл, три раза ESS обновлялся но ни разу их не задетектил. Хотя ещё вчера пришёл ответ о том что файлы получены и отправлены в лабораторию для добавления в вирусные базы.

Это новые трояны из сводки вирусной библиотеки BitDefender :

"ПРИЗНАКИ:

Эксплуатация не показывает никаким признакам, пока нападавший не пропитывает систему.

ТЕХНИЧЕСКОЕ ОПИСАНИЕ:

malware - сценарий, написанный в Javascript. Это - часть известного переназначения и цепочек инфекции, описанных в троянском. Деяние. SSX (или позже троянский. Деяние. ANNZ).

Это - в основном та же самая методика, но malware развивается и таким образом новые особенности/деяния были добавлены:

CVE-2008-0647, который использует буферное переполнение в HanGamePluginCn18. HanGamePluginCn18.1 ActiveX управляют в HanGamePluginCn18.dll в Ourgame GLWorld 2.6.1.29.

Уязвимость для Наносно-глинистого игрока Вспышки - CVE-2007-0071, который использует d27cdb6e-ae6d-11cf-96b8-444553540000 CLSID."

И вот ещё. на IFrame

"Троянский. JS.IFrame. ACN

Распространение: высоко

Повреждение: среда

Размер: 40 байты

Обнаруженный: 2008 09 октября

ПРИЗНАКИ:

Сценарий malware не имеет никаких очевидных признаков, потому что это - "шлюз" к другому доступному через сеть malware: троянский. Деяние. ANNZ.

ТЕХНИЧЕСКОЕ ОПИСАНИЕ:

malware javascript имеет невидимый iframe, который приводит троянский. Деяние. ANNZ, который имеет злонамеренные действия - загружает заднюю дверь (Задняя дверь. Родовой 76302)."

При этом BitDefender Free Edition v 10 , ничего с ними не сделал, не поместил в карантин и не удалил.

Отправил эти файлы на он лайн сканирование, многие антивирусы в том числе Kaspersky и DrWeb тоже задетектили троянов.

Но, что самое интересное это то что когда я скачал Curiet и AVPTool, и просканировал комп, они тоже ничего не заметили...

И даже AVZ ничего не увидело.

Но вот опять ради интереса только что просканировал C:\Documents and Settings\\Local Settings\Application Data\Opera\Opera\profile? и что в итоге?

C:\Documents and Settings\\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02OF4=>(JAVASCR IPT) Infected: Trojan.JS.Downloader.BGI

C:\Documents and Settings\\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02OF4=>(JAVASCR IPT) Disinfection failed

C:\Documents and Settings\\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02OF4=>(JAVASCR IPT) Move failed.

Опять тоже самое что и вчера и позавчера. Судя по логам BitDefender его переместил и дезинфецировал, НО ТОЖЕ САМОЕ ОН ДЕЛАЛ И ПАРУ ДНЕЙ НАЗАД А ТОЛКУ?

И ещё интересно, почему ни Curiet ни AVPTool его не заметили при сканировании, ведь на он-лайн проверке они его детектят?

DISEPEAR:

Для справки .

NOD 32 v2 и Bitdefender free конфликтуют .

Тормозит даже современный компьютер .

Лучше Curiet от Dr.Web раз в месяц - три .

Не требует установки . Просканировал и выкинул в корзину .

Базы обновляются каждый час или два ( забыл уже ) .

Рекомендуемые настройки для второй и третьей версии NOD32 .

С официального сайта .

http://www.wilderssecurity.com/showthread.php?t=37509

http://www.wilderssecurity.com/showthread....7509&page=2

Кстати с полным описанием всех новых троянов можно ознакомится здесь http://www.bitdefender.com/site/VirusInfo/...rusEnciclopedia.

Насчёт конфликтов, не замечал, кроме одного раза когда NOD детектил некоторые файлы BitDefender как вирусы. Но после того как я поставил его в доверенные к ESS проблем нет. Компьютер у меня не тормозит вообще из за них никак.

Насчёт Curiet и BitDefender, извините конечно, но сравнивать DrWeb с BitDefender даже смешно. У Дефендера тоже базы обновляются каждый час, при этом скачивать его постоянно не нужно как Куриет.

[456]

Вообще-то он пишет

"C:\Documents and Settings\\Local Settings\Application Data\Opera\Opera\profile\cache4\opr02OF4=>(JAVASCR IPT) Disinfection failed"

Очистка провалена , невозможна .

"Move failed."

Перемещение невозможно .

А если просто очистить кэш в Опере ?

Что скажет ?

Т.е. отключиться от интернета , очистить кэш , закрыть Оперу .

[DISEPEAR]

О, после новых обновлений NOD начал детектить один троян из троицы.

17.10.2008 20:23:43 Защита файловой системы в режиме реального времени файл F:\\вирусы\opr02OF4 PDF/Exploit.Pidief.NCJ троянская программа Ошибка при удаление NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\windows\Explorer.EXE.

NOD опять как и раньше начинает поднабирать обороты в быстроте реагирования, но Дефендер его всё таки опережает в этом плане, как не крути.

Интересно вот только, а что с остальными двумя троянами? Он их не посчитал что ли за вирусы?

[Шварц]

Детектить начал, только все равно не удаляет :)

Кстати, AVPTool из безопасного режима запускали? :)

Можно еще попробовать удалить резервное хранилище системы. Похоже они там сидят уже давно :)

[DISEPEAR]

Детектить начал, только все равно не удаляет :)

Кстати, AVPTool из безопасного режима запускали? :)

Можно еще попробовать удалить резервное хранилище системы. Похоже они там сидят уже давно :)

Нет, вы меня не правильно поняли, я их удалил собственноручно из кэша Оперы, не став дожидатся действий антивирусов, ( неизвестно ещё, как бы они могли напортачить мне в системе). Но прежде чем удалить я их скопировал на диск, для того что бы проверить реакцию Нода. Это он с диска задетектил их, поэтому и удалить не смог.

Насчёт безопасного режима...

Последнее время какие то глюки системы в этом плане, недавно хотел войти в безопасный режим, но там вдруг обнаружил что всё описано на каком то арабском языке, :) что за галюны? Никто не знает?

[456]

DISEPEAR:

Решили добить систему ? Вирус на диск .

Host очистите .

В AVZ .

[Шварц]

Именно так!

И не забывайте делать периодически полные проверки хотя бы раз в неделю несколькими антивирусами (коли так везет на цепляние новых вирусов :blushing: )

Ну а реакция на новые вирусы - давно известное слабое место у нод32. Ему проще заподозрить кучу файлов (вдруг, хоть один - но реально вирус), чем добиться добавления присланных на анализ вирусов в базы.

Так что здесь остается только ждать. А вдруг это и не вирусы были и БитДефендер ввел вас в заблуждение? :doh:

[456]

Шварц:

Здесь вы не правы .

Ложных срабатываний у него минимум.

Но вот базы бывает обновляет с запозданием . Это правда .

DISEPEAR:

Не обижайтесь .

[DISEPEAR]

Именно так!

И не забывайте делать периодически полные проверки хотя бы раз в неделю несколькими антивирусами (коли так везет на цепляние новых вирусов :) )

Ну а реакция на новые вирусы - давно известное слабое место у нод32. Ему проще заподозрить кучу файлов (вдруг, хоть один - но реально вирус), чем добиться добавления присланных на анализ вирусов в базы.

Так что здесь остается только ждать. А вдруг это и не вирусы были и БитДефендер ввел вас в заблуждение? :)

Нет, я не думаю что он ввёл в заблуждение. Я эти файлы отправлял на он-лайн сканирование, и многие их детектили, и Каспер И Веб и Нортон. И ещё порядка 15 антивирусов.

Шварц:

Здесь вы не правы .

Ложных срабатываний у него минимум.

Но вот базы бывает обновляет с запозданием . Это правда .

DISEPEAR:

Не обижайтесь .

Это вы BitDefender имеете ввиду что ли?

[456]

NOD

[Шварц]

Шварц:

Здесь вы не правы .

Ложных срабатываний у него минимум.

Но вот базы бывает обновляет с запозданием . Это правда .

Минимум. Зато "в тему" - то дистрибутив Касперыча задетектит, то свой же дистрибутив, скачанный с официального сайта ESET трояном обзовет.

У всех бывает... :)

[DISEPEAR]

Минимум. Зато "в тему" - то дистрибутив Касперыча задетектит, то свой же дистрибутив, скачанный с официального сайта ESET трояном обзовет. :)

У всех бывает...

Да, кстати, сталкивался я с этим, у меня он BitDefender до сих пор вот так иногда детектит как вирус.

19.10.2008 21:13:11 Защита файловой системы в режиме реального времени файл E:\BitDefender\BitDefender10\zlib.dll Win32/Adware.SmartAntivirus приложение очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\windows\Explorer.EXE.

Сама прогамма то у меня в ИСКЛЮЧЕНИЯХ стоит у НОДА а вот вчера хотел скопировать что бы после переустановки Винды осталась прогамма а НОД вот пытался попытку присечь. :)

А может это и в заправду вирус? :) :)

[Emax]

Всем привет! Есть такая проблема: стоит генератор обновлений, который складывает их на сервер. Генератор работает нормально, но с пользовательских мест при обращении к папке обновлений на сервере NOD говорит "Ошибка при обновлении программных модулей (Невозможно заменить текущий файл)"

Что это за ошибка подскажите?

Спасибо.

[Maikll]

Emax:

Такая ошибка возникает при отсутствии папки TEMP указанной в системных переменных среды в Windows. Идем в Свойства системы -> вкладка Дополнительно кнопка Переменные среды. и проверяем, не ссылаются ли системные и пользовательские переменные TEMP и TMP на не существующюю папку(и)? При необходимости исправляем.

Еще вариант - несовпадение версий продукта на зеркале и клиенте

[Emax]

Maikll:

Все в норме по твоим замечаниям. Версия одна и та-же, Темп папки реальные.

Причем заметил, что на одном из компов в сетке все нормально работает, но не могу отследить разницу, тот комп также в домене с такими-же правами.

Может еще какие мысли? :bye1:

Все нашел: папка Темп у этого пользователя была прописана в рабочей папке пользователя, поменял на с:\TEMP, все заработало.

Только так и не понял почему с тем путем не работало, папка тоже реальная, может у нода не было прав на запись в эту папку: с:\docum&sett\user\lokal set\....?

Изменено 30 октября, 2008 пользователем Emax

[lafaet]

Eset NOD32 Antivirus Отлично находит вирусы, но потом бережёт их как дитя любимое, во всех местах указал ему сразу удалять при обнанужении, мест эних около 10 нафига-то. так он нашёл два вируса и предлогает скопировать их, или пропустить, но кнопка удалить отключена, что б я не дай бог не удалил вирус, сам не удаляет и мне не даёт, создатели очевидно старались, чтоб я никак не смог избавиться от вируса. и на какой ... нужен такой антивирус? :D

[DISEPEAR]

Eset NOD32 Antivirus Отлично находит вирусы, но потом бережёт их как дитя любимое, во всех местах указал ему сразу удалять при обнанужении, мест эних около 10 нафига-то. так он нашёл два вируса и предлогает скопировать их, или пропустить, но кнопка удалить отключена, что б я не дай бог не удалил вирус, сам не удаляет и мне не даёт, создатели очевидно старались, чтоб я никак не смог избавиться от вируса. и на какой ... нужен такой антивирус? :D

У тебя НОД лицензионный? Если да, то какой версии?

[akoK]

Это значит, что нет у него доступа к этим файлам.

[456]

lafaet:

предлогает скопировать их, или пропустить, но кнопка удалить отключена ... что б я не дай бог не удалил вирус, сам не удаляет и мне не даёт, создатели очевидно старались, чтоб я никак не смог избавиться от вируса.

"Если обнаружена инфекция, поведение программы зависит от конфигурации, определенной на вкладке Действия.

"

Третий год . И спокойно удаляет .

[DISEPEAR]

Говорят вышли бета версии продуктов ESET 4.

http://www.wilderssecurity.com/showthread.php?t=225558

http://www.wilderssecurity.com/showthread.php?t=225559

Никто ничего не слышал?

[викто654]

Здрасте Всем! Мне поставили Eset Smart Security. Вот только обновление никак не делает. Может знает кто? А то все просит введите имя и пароль и т.д. Кто может что про эту сказать????????? С уважением чайничек.

[DISEPEAR]

Здрасте Всем! Мне поставили Eset Smart Security. Вот только обновление никак не делает. Может знает кто? А то все просит введите имя и пароль и т.д. Кто может что про эту сказать????????? С уважением чайничек.

А продукт лицензионный?

[akoK]

Не думаю.

[TNN]

Доброй ночи. ESS 3.0.672.0 и Zone Alarm SS 8.0.059.000.

В файерволе отключила антивирус, в NODe отключаю файервол и модуль защиты от нежелательной почты, но при загрузке системы, NOD опять их активирует. Помогите, полжалуйста, разобраться.

[DISEPEAR]

Доброй ночи. ESS 3.0.672.0 и Zone Alarm SS 8.0.059.000.

В файерволе отключила антивирус, в NODe отключаю файервол и модуль защиты от нежелательной почты, но при загрузке системы, NOD опять их активирует. Помогите, полжалуйста, разобраться.

Два файерволла это не очень хорошо вообще. Нельзя что ли было поставить отдельно NOD просто антивирус и Zone Alarm просто файерволл?